`
tianhandigeng
  • 浏览: 374470 次
  • 性别: Icon_minigender_1
  • 来自: 武汉
社区版块
存档分类
最新评论

Spring Security学习笔记

阅读更多

      看了一个星期的Spring Security源码,应该说对控制URL级别的访问控制的认识是有80,90%了,这里把自己的一些记录给贴出来,分享是一方面,保存也是一方面。好了不说了,看下面具体分析了:

URL资源控制访问处理流程:

数据准备 ( 顺序不一定是按照下面来的 )

第一步:用户登录的时候根据用户名从数据库中查出用户所具有的 GrantedAuthority[] 信息,将它复制给 Authentication 对象 (Authentication 中有一个 GrantedAuthority[] 的属性 ) ,权限信息都封装成了 GrantedAuthorityImpl 的对象。

简单的描述一下关系就是:




 

当然存的是 GrantedAuthorityImpl 对象,也就是说 ROLE_ADMIN 这些值都被进行封装了一下。

看一下顺序图:



 
 

 

  第二步:从数据库中查出资源与权限的对应信息,以 map 的形式保存,比如像这样:


 

注意从数据库中取出数据的第一次封装就是封装成下面的这种形式,权限都是以 ”,” 分隔的。

接下来进行第二步封装:

resourceMap 进行再次处理,主要是对上面的权限信息封装成 ConfigAttributeDefinition 对象,但是上面都是以 ”,” 分隔的字符串的形式,而我们查看 API 发现 ConfigAttributeDefinition 虽然有这样的构造函数,但是要求的是 a single attribute

public ConfigAttributeDefinition

(String

 attribute)

Creates a ConfigAttributeDefinition containing a single attribute

这时候我们就交给一个 ConfigAttributeEditor 的类进行处理:

它里面有这个方法:

            setValue ( new ConfigAttributeDefinition(StringUtils.commaDelimitedListToStringArray (s)));

看到这个没有

StringUtils.commonDelimitedListToStringArray(s) 没有,就用了这个。这样我们就通过再次构造得到了另外一个 Map

requestMap ,它存的就是这样的形式:



 

当然对以 map 中的 KEY ,也进行了封装处理,它们都被封装成了 RequestKey 对象的形式。

再通过提供 UrlMatcher RequesetMap 我们构造了一个 DefaultFilterInvocationDefinitionSource 对象。

   在这里说一下,其实 ConfigAttributeDefinition 中保存的配置信息都存在一个 List 当中,而 List 当中存储的是 SecurityConfig 对象,而 SecurityConfig 对象是 ConfigAttribute 类型的。也就是所这样形式的配置信息:

ROLE_ADMIN,ROLE_USER 被处理成 String[] 形式存储到了 ConfigAttribute 对象中, ConfigAttribute 对象再存在 ConfigAttributeDefinition 对象的 List 属性中。

 

前期的准备工作算是做好了,现在进行相关处理了,这里我们主要使用的是 FilterSecurityInterceptor 来处理,我们给 FilterSecurityInterceptor 提供了我们已经准备好的这些东西,除了上面这两个以外还提供了一个 AccessDecisionManager( 决策管理者 ) ,这个是决定我们是否可以访问资源的决策器,当然使用的资源就是我们上面提供了这两个东西。

   当请求达到的时候,我们通过 FilterSecurityInterceptor 拦截到了请求,构造成了 FilterInvocation 对象,然后进行下面的处理:

第一步,通过这个 FilterInvocation 来取得 ConfigAttributeDefinition 对象,上面已经讲到对于资源和权限是以 map 形式存在的,并且权限信息是封装成了 ConfigAttributeDefinition 对象,

ConfigAttributeDefinition attr=objectObjectDefinitionSource().getAttributes(object); 通过 DefaultFilterInvocationDefinitionSource 类中的下面三个方法的顺序调用,我们就可以取得 URL 所对应的 ConfigAttributeDefinition 对象。



 

第二步:获得认证对象 :

Authentication authenticated=authenticateIfRequired() ,对于认证对象的获得这里就不再复述了文档中已经分析了。

现在 Authentication ConfigAttributeDefinition 都已经准备好了,就可以进行决定是否可以访问了,这叫个 AccessDecisionManager 进行处理。

第三步:决策访问控制:

       accessDecisionManager.decide(authentication,filterInvocation,configAttributeDefinition);

这里提供一种处理方式:




 

 

  这里要说明一下关于没有权限之类的处理, Spring Security 是通过异常处理来实现的,捕捉异常根据异常信息跳转页面。

 

  这里只对URL资源控制进行分析了,如果我理解错了,希望大家给我改正。

 

 

  • 大小: 6.9 KB
  • 大小: 41 KB
  • 大小: 13.6 KB
  • 大小: 6.4 KB
  • 大小: 4.6 KB
  • 大小: 11.5 KB
  • 大小: 33.5 KB
  • 大小: 17.7 KB
分享到:
评论
10 楼 zjut_ww 2011-03-03  
kongruxi 写道
写得不错
之前的一个很小的项目里面用到spring security
如果LZ早写这文章就可以减少点我用在学习spring security的时间了,呵呵

因为我这个小项目权限那块用的是User<-->Role<-->Authority,所以spring security实际上只会关心User拥有什么Authority,反而没有Role这个概念,这样理解应该没错吧?
不知spring security是不是认为大多数系统只会用到User<-->Role这样的结构,所以权限的控制判断默认是ROLE_XXX这样,个人觉得看起来很怪

其实spring security中的role就是你口中的authority。完全可以符合你的三层的权限控制结构
9 楼 天下智能 2011-01-27  
最近做项目也用到了Spring Security,好好学习一下,自己一个人做!
8 楼 JavaStudyEye 2011-01-27  
  感谢楼主,最近也想找本书 下载到 psp 里面,看,,正好啊

不错 不错,顶
7 楼 kongruxi 2011-01-26  
写得不错
之前的一个很小的项目里面用到spring security
如果LZ早写这文章就可以减少点我用在学习spring security的时间了,呵呵

因为我这个小项目权限那块用的是User<-->Role<-->Authority,所以spring security实际上只会关心User拥有什么Authority,反而没有Role这个概念,这样理解应该没错吧?
不知spring security是不是认为大多数系统只会用到User<-->Role这样的结构,所以权限的控制判断默认是ROLE_XXX这样,个人觉得看起来很怪
6 楼 yanxia611 2011-01-26  
上传一个例子 我们看看
5 楼 ctfzh 2011-01-26  
spring security3.1.x跟3.x以及之前的版本也有变化的。当时我整权限这块整了好久,现在终于整出了。抽空的时候我也整理下笔记出来。
4 楼 glovebx 2011-01-26  
多谢lz,学习一下先。
3 楼 cwx714 2011-01-25  
Spring Security3已经有些变动了,org.springframework.security包下的类都转移到org.springframework.security.core了,Authentication 中的属性也变为Set<GrantedAuthority>了。
2 楼 tianhandigeng 2011-01-25  
重新弄了一下,图出来了,文档中也有这些描述
1 楼 neverforget 2011-01-25  
图片没显示出来

文档不错 打印出来 公车上看

相关推荐

    springsecurity学习笔记

    在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...

    spring security学习笔记

    spring security学习笔记

    Spring Security学习笔记(一)

    本篇学习笔记将带你走进Spring Security的世界,逐步理解并掌握其基本用法。 首先,要开始使用Spring Security,我们需要在项目中添加依赖。在Maven工程中,可以通过在`pom.xml`中引入Spring Boot的`spring-boot-...

    Spring Security OAuth2.0学习笔记.zip

    Spring Security OAuth2.0学习笔记 什么是认证、授权、会话。 Java Servlet为支持http会话做了哪些事儿。 基于session认证机制的运作流程。 基于token认证机制的运作流程。 理解Spring Security的工作原理,Spring ...

    SpringSecurity笔记,编程不良人笔记

    SpringSecurity是Java领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话...通过深入学习和实践,我们可以更好地掌握SpringSecurity,为我们的应用构建坚固的安全防线。

    spring security3笔记

    《Spring Security 3笔记》 在深入探讨Spring Security 3的知识点之前,我们先了解下这个框架的基本概念。Spring Security是Spring生态系统中的一个组件,它为Java应用提供了全面的安全服务,包括认证、授权以及Web...

    最详细Spring Security学习资料(源码)

    Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的安全性。它构建在Spring Framework基础之上,提供了全面的安全解决方案,包括身份验证、授权、攻击防护等功能。 Spring...

    Spring Security 资料合集

    Spring Security 是一个强大的安全框架,主要用于Java应用的安全管理,它为Web应用和企业级应用提供了全面的...通过学习这些文档,开发者可以更好地理解Spring Security的工作原理,从而更有效地实现应用的安全控制。

    Spring Security笔记.rar

    Spring Security 是一个强大的且高度可定制的框架,用于为Java应用程序提供身份验证和授权服务。它主要用于保护基于Spring的...通过学习本笔记,你可以逐步掌握Spring Security的基础知识,并将其运用到实际项目中。

    Spring学习笔记+学习源码.zip

    这份"Spring学习笔记+学习源码.zip"资源包含了深入学习Spring及其相关技术的知识点,以及实践代码,对提升Spring技能将大有裨益。 首先,我们来详细讨论Spring框架的主要组件和功能: 1. **依赖注入(Dependency ...

    Spring Security tutorial 学习笔记(一)

    这篇教程的学习笔记将带你深入理解其核心概念和工作原理。首先,我们来概述 Spring Security 的基本架构和主要组件。 **1. ** **Spring Security 架构** Spring Security 的架构基于过滤器链,它拦截并处理应用...

    spring security学习资料

    spring security方面的学习资料,包含:Spring+Security+3+与+CAS单点登录配置;Spring+Security3中文教程;Spring-Security安全权限管理手册;Spring+Security文库;还有一个学习笔记!

    SpringSecurity笔记2-SpringSecurity命名空间

    在"SpringSecurity笔记2-SpringSecurity命名空间"的学习中,还会涉及到如何自定义过滤器链,以及如何通过`&lt;custom-filter&gt;`元素插入自定义的SpringSecurity过滤器。同时,理解`&lt;access-denied-handler&gt;`和`...

    狂神Spring Security静态资源

    在这个名为"狂神Spring Security静态资源"的资料中,我们可以期待学习到关于如何保护Web应用中的静态资源不被未经授权的用户访问。 首先,了解Spring Security的基本概念是必要的。它主要由四个组件构成:...

    springsecurity3 学习笔记源码分析所得

    Spring Security 是一个强大的Java安全框架,用于...总的来说,Spring Security 3的学习笔记和源码分析对提升安全开发技能大有裨益,不仅可以加深理论理解,还能在实际项目中灵活运用,构建更加健壮、安全的应用系统。

    马士兵老师spring框架学习笔记

    马士兵老师是知名的Java教育专家,他的Spring框架学习笔记深入浅出,对于初学者和进阶者来说都是一份宝贵的资源。这份笔记涵盖了Spring的核心概念、配置、AOP(面向切面编程)、DI(依赖注入)等关键知识点。 1. **...

    springSecurityTest.zip

    通过学习其中的代码、笔记和文档,你将理解Spring Security如何与Spring框架协同工作,如何设置认证和授权,以及如何保护你的应用程序免受常见安全威胁。这是一个很好的起点,可以帮助你在Java安全领域打下坚实的...

    视频配套笔记_Spring Security OAuth2.0认证授权_v1.1.rar

    配合压缩包中的"配套笔记_Spring Security OAuth2.0认证授权_v1.1",读者可以详细学习如何在实际项目中设置这些组件,以及如何处理授权过程的每一个步骤。笔记可能涵盖了创建自定义授权服务器和资源服务器的配置,...

Global site tag (gtag.js) - Google Analytics